[CPS 보안워크숍] 문성준 대표 “급증하는 API 보안위협, 기존 솔루션으론 한계”

안정적인 스마트시티 구현 위해 API 보안에 대한 새로운 대응방안 필요해

2020-10-17     길민권 기자
문성준

“디지털 통신으로 전환이 가속화되면서 API의 중요성이 더욱 커지고 있다. 그런 가운데 API 보안 위협도 증가하고 있다. 2022년까지 API가 빈번한 공격 타깃이 되어 엔터프라이즈 웹 애플리케이션의 데이터 침해로 이어질 것이다. OWASP도 지난해 10대 API 보안 위협을 발표한 바 있다. 기존 애플리케이션 보안 솔루션만으로는 웹 API를 보호하는 것은 역부족이다. 새로운 접근법이 필요한 시점이다.” –문성준 엔시큐어 대표-

10월 15일 제주서 개최된 한국정보보호학회 CPS보안연구회 주관 ‘제7회 CPS 보안워크숍’에서 문성준 엔시큐어 대표는 ‘오픈 API 리스크 가시화 및 위협 완화 방안’을 주제로 강연을 진행해 큰 관심을 끌었다.

디지털 혁신 가속화에 API 시장 급성장…화두는 ‘보안’

문성준 대표는 “코로나19 장기화로 디지털 혁신이 가속화되고 있다. 사람중심에서 애플리케이션 중심으로, 근거리 환경에서 원거리 환경으로, 개인 네트워크에서 공공 네트워크로 급격한 전환이 이루어지고 있다. 그 디지털 혁신의 중심에 API(Application Programing Interfaces)가 조력자 역할을 하고 있다”며 “가트너에 따르면, 2020년 API 시장은 20억 달러에서 2024년 64억 달러 시장으로 성장할 것이라고 전망했다”고 전했다.

빠르게 성장하고 있는 API 시장에서 역시 중요한 화두는 바로 ‘보안’이다. 가트너는 2022년까지 API가 해커들의 집중적인 공격 타깃이 될 것이며 엔터프라이즈 웹 애플리케이션의 데이터 침해로 이어질 것이라고 밝힌 바 있다.

외부 B2B API, 외부 B2C API, 내부 API 등 각각 새로운 잠재적 공격 경로로 활용될 전망이며 OWASP에서도 2019년 10월 API 10대 보안위협을 발표하고 있다.

문 대표는 “API 위협은 애플리케이션 계층의 논리적 오류로 발생한다. 취약점이라기 보다는 로직상의 오류로 인해 발생하는 위협이다”라고 설명하고 “특히 스마트시티에 애플리케이션은 더욱 많이 사용될 전망이다. 모든 도시 시설물과 서비스들이 API를 통해 연계될 것이다. 이때 API 보안이 제대로 작동하지 않아 해킹 사고와 시스템 오류, 장애, 실수 등이 발생한다면 스마트시티는 멈춰서고 그 피해는 엄청난 사회 혼란으로 이어질 것”이라고 말했다.

스마트시티, API 보안위협 급증…기존 보호방안으로는 한계

API 보안 위협은 전세계에서 급증하고 있다. 데이터 탈취, 계정 탈취, 사기, 서비스 거부 등으로 기업은 큰 타격을 받을 수 있다.

실제로 브리티시 항공은 50만명의 사용자 개인정보를 유출당해 229.5M 달러의 벌금을 부과 받았고, 100% API 중심으로 운영되는 소규모 신생 은행인 페퍼 세이빙 뱅크도 API 공격을 받아 고객 데이터를 도난 당했다. 도미노피자도 API 다중 조작으로 지불 사고가 발생한 바 있으며 미국 우정국 및 티모바일, 버라이존 등도 API 변조 공격을 받아 고객 데이터 유출 사고가 발생한 바 있다. 모두가 API를 대상으로 한 실제 공격 피해사례들이다.

이에 가트너는 “범용 애플리케이션 보안 솔루션만으로는 웹 API를 보호하는 것은 효과가 없다”고 강조했다. 기존 보안솔루션으로는 API 보안에 한계가 있다는 것이다.

자가학습 통해 위협에 직접 영향 미치는 로직 분석 가능한 솔루션 필요해

문성준 대표는 “현재 대부분은 API-게이트웨이, 웹 방화벽, 소스코드 분석툴 등으로 취약점 점검 수준의 API 보안 조치를 하고 있다. 하지만 API 위협은 애플리케이션 로직의 취약성을 활용하기 때문에 애플리케이션 동작을 분석하는 솔루션이 필요하다. 기존 솔루션으로는 로직상의 취약점을 해결할 수 없다”며 “API 데이터 요소 사이의 복잡한 관계를 통해 비즈니스 로직을 자동으로 감지할 수 있어야 한다. 자가학습을 통해 위협에 직접 영향을 미치는 로직을 분석하는 솔루션이 필요하다”고 강조했다.

API에서 개인정보나 패스워드 등 의미있는 데이터인지 여부와 위협 행위인지 여부 등을 자가학습을 통해 인식하고 위협을 방어할 수 있는 방법이 필요하다는 것이다. 의미있는 이상징후 감지가 가능한 API 보안솔루션이 이에 해당한다.

문 대표는 “API도 자연어 처리(이하 NLP) 기법으로 자가학습하고 위협을 찾아 반응할 수 있어야 한다. 자가학습을 통해 로직에 영향을 미치는 것을 탐지하고 대응할 수 있어야 API 보안이 가능하다”며 글로벌 대표 API 보안솔루션인 ‘임비전테크놀로지스(IMVISION TECHNOLOGIES) 구축사례를 소개했다.

의미있는 API 이상 징후 감지를 위해 NLP를 구축한 기업은 일본 최대 모바일 기업인 NTT 도코모다. 이 기업은 NLP 구축을 통해 API 취약성을 조기 탐지하고 데이터 탈취와 계정 탈취 공격 등을 효과적으로 차단하고 있다.

문성준 엔시큐어 대표는 “API 보안솔루션 수요는 앞으로 더욱 증가할 전망이다. 기존 솔루션으로는 효과적인 API 보안에 한계가 있다. 글로벌 기업들이 비즈니스 로직에 영향을 미치는 API 이상 징후 탐지를 위해 NLP 도입에 적극적으로 나서고 있다. 한국도 API 보안을 시작할 타이밍이다”라고 강조했다.


[하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에

-사전등록: 클릭

-참가기업 모집중: mkgil@dailysecu.com으로 문의

★정보보안 대표 미디어 데일리시큐!★